Wet verwijzingsportaal bankgegevens.


Volledige tekst

Bij Kabinetsmissive van 24 april 2019, no.2019000843, heeft Uwe Majesteit, op voordracht van de Minister van Financiën, bij de Afdeling advisering van de Raad van State ter overweging aanhangig gemaakt het voorstel van tot wijziging van de Wet op het financieel toezicht in verband met het via een centraal elektronisch systeem geautomatiseerd verstrekken en ontsluiten van identificerende gegevens door banken en betaaldienstverleners (Wet verwijzingsportaal bankgegevens), met memorie van toelichting.

Het voorstel regelt de inrichting van een Verwijzingsportaal bankgegevens (hierna: VB). Het doel hiervan is het proces van het verstrekken van bepaalde identificerende gegevens (zie noot 1) door banken en andere betaaldienstverleners aan bepaalde overheidsinstanties efficiënter te laten verlopen.

De Afdeling advisering van de Raad van State vestigt de aandacht op de waarborgen voor gegevensverwerking bij de introductie van deze digitale techniek, de beveiligingsrisico’s voor banken, betaaldienstverleners en overheidsinstanties, de implementatie van de Europese ontsluitverplichting en de kosten van het VB. In verband daarmee is aanpassing wenselijk van het wetsvoorstel en de toelichting.

1. Inleiding

Het voorstel regelt de inrichting van een VB. Het VB is een technische koppeling die het voor aangesloten banken en betaaldienstverleners mogelijk maakt om geautomatiseerd identificerende gegevens te verstrekken op verzoek of na vordering van overheidsinstanties. De politie, de Bijzondere opsporingsdiensten, het Openbaar Ministerie, de Financiële inlichtingeneenheid (hierna: FIU) en de Belastingdienst hebben voor de uitoefening van hun wettelijke taken deze gegevens nodig van cliënten van banken en andere betaaldienstverleners. Deze overheidsinstanties hebben de wettelijke bevoegdheid om identificerende gegevens te vorderen of te verzoeken bij banken en betaaldienstverleners. Op dit moment vindt deze gegevensverstrekking handmatig plaats. Deze wijze van verstrekking sluit niet meer aan bij het huidige betalingsverkeer, dat snel, digitaal en grensoverschrijdend is, aldus de toelichting. (zie noot 2)

Het VB maakt het daarom voor overheidsdiensten mogelijk om bijna real-time identificerende gegevens te vorderen of op te vragen. Voor banken en andere betaaldienstverleners die rekeningen aanbieden wordt het mogelijk deze gegevens vervolgens geautomatiseerd te verstrekken. Het verwijzingsportaal is geen database, maar een koppeling; het zoekt, op aanvraag, gegevens op in administraties van aangesloten banken en betaaldienstverleners. Het slaat de gegevens die het heeft opgezocht slechts enkele minuten op ten behoeve van de verwerking door de aangesloten overheidsinstanties. Daarna worden de gegevens vernietigd. (zie noot 3)

Met het wetsvoorstel wordt daarnaast de Europese verplichting geïmplementeerd om te voorzien in een centraal elektronisch systeem voor gegevensontsluiting dat tijdige identificatie mogelijk maakt van natuurlijke personen of rechtspersonen die houder zijn van of zeggenschap hebben over bank- en betaalrekeningen met een IBAN (zie noot 4)-identificatienummer of over een kluis bij de bank (hierna kortgezegd: Europese ontsluitverplichting). (zie noot 5)

2. Waarborgen tegen onnodige gegevensverstrekking

Het wetsvoorstel beoogt de reeds bestaande wettelijke bevoegdheden voor de genoemde overheidsinstanties om identificerende gegevens te vorderen of op te vragen niet te wijzigen, in te perken of te verruimen. Niettemin leidt het VB wel tot verlaging van de drempel voor gegevensverstrekking. Het voorstel is dan ook niet alleen technisch van aard. Het gebruik van digitale techniek is weliswaar begrijpelijk, maar vergt wel dat de gevolgen daarvan voor burgers en rechtspersonen uitdrukkelijk worden onderkend. (zie noot 6)

Het VB maakt het mogelijk dat identificerende gegevens door banken automatisch worden verstrekt op verzoek van bepaalde overheidsinstanties. Interne procedures bij de overheidsinstanties moeten waarborgen dat een dergelijk verzoek bevoegd wordt gedaan en aan alle overige (wettelijke) voorwaarden wordt voldaan. Daarnaast worden alleen gegevens uit het VB aan de verzoekende instanties teruggezonden indien een zoekvraag in het VB tot maximaal drie personen leidt. Dit laatste geldt niet voor zoekvragen op basis van een product, (zie noot 7) deze kunnen wel tot meer personen leiden. (zie noot 8)

Tot nu toe worden de identificerende gegevens handmatig verstrekt door de bank. De introductie van het VB zorgt ervoor dat deze gegevens na invoering van het verzoek in het VB automatisch en dus zonder mogelijkheid van controle op de juistheid van het verzoek of de vordering door de bank worden verstrekt. De gegevensverstrekking wordt daardoor sneller en efficiënter. De richtlijn beoogt dit ook voor zover het de gegevensverstrekking betreft tussen banken, andere betaaldienstverleners en de Financiële inlichtingeneenheden.

Keerzijde daarvan is echter dat de kans op onnodige gegevensverstrekking wordt verhoogd. Het had in de rede gelegen om met het oog daarop, binnen de eisen die de richtlijn aan de gegevensontsluiting stelt, te voorzien in extra waarborgen in het VB om het risico daarop zoveel mogelijk te verkleinen. In dat verband wijst de Afdeling erop dat bijvoorbeeld uitdrukkelijk niet is gekozen voor de mogelijkheid tot fiattering. (zie noot 9) Dat fiattering leidt tot vertraging, zoals opgemerkt in de gegevensbeschermingsbeoordeling, (zie noot 10) acht de Afdeling onvoldoende om daarvan af te zien, gelet op het belang van bescherming van de gegevens van betrokkenen. Bovendien blijkt uit de toelichting ook niet of en welke andere  waarborgen in het VB zijn overwogen.

Dit klemt te meer gelet op de bestaande (ruime) vorderingsgrondslagen die in het voorstel zijn overgenomen voor de Belastingdienst. (zie noot 11) De Belastingdienst, zijnde de inspecteur, heeft immers de mogelijkheid om identificerende gegevens op te vragen ten behoeve van het voorkomen van misbruik met toeslagen en ten behoeve van de belastingheffing en -inning. Uit de toelichting wordt echter niet duidelijk welke waarborgen worden gerealiseerd om het risico van onnodige gegevensverstrekking aan de Belastingdienst, zoveel mogelijk te verkleinen. De toelichting (zie noot 12) verwijst enkel naar een beoogde aanpassing van het zogenoemde Voorschrift informatie fiscus/banken, (zie noot 13) zonder in te gaan op de benodigde aanpassingen.

Daarnaast had het in de rede gelegen om expliciet toe te lichten hoe de rechten van betrokkenen ten aanzien van het VB kunnen worden uitgeoefend. De toelichting gaat slechts in algemene zin in op de afspraken tussen de verwerker (de Justitiële informatiedienst) en de verwerkingsverantwoordelijken (respectievelijk banken, betaaldienstverleners en de betreffende overheidsinstanties). (zie noot 14)

De Afdeling adviseert in de toelichting op het voorgaande nader in te gaan, daarbij in het bijzonder aandacht te besteden aan de Belastingdienst en het wetsvoorstel aan te passen.

3. Veiligheidsrisico’s gegevenssystemen banken en overheidsinstanties

In de toelichting wordt niet zonder reden uitgebreid ingegaan op de beveiligingsmaatregelen die zijn getroffen ten aanzien van het VB. Zo is het systeem niet toegankelijk via het internet om ongeoorloofde toegang tot het systeem te voorkomen. Het VB heeft een eigen fysieke infrastructuur, die met een firewall is afgeschermd van het netwerk van het ministerie van Justitie en Veiligheid. Ook is er een autorisatie en inlogvoorziening voor medewerkers die bevoegd zijn gegevens op te vragen en worden de beheerders van het systeem door de AIVD gescreend. Daarnaast wordt een penetratietest uitgevoerd voordat het VB in gebruik wordt genomen. In reactie op het advies van het Bureau ICT-toetsing zijn bovendien aanvullende maatregelen getroffen. (zie noot 15) Hiermee is gekozen voor een oplossing die zo min mogelijk risico’s met zich brengt, aldus de toelichting. (zie noot 16)

Het VB leidt er echter ook toe dat via een koppeling van het VB aan de klantenadministratie van een bank of betaaldienstverlener, de klantadministratie wordt ontsloten. Daarnaast wordt een verbinding gelegd van het VB naar de overheidsinstanties. Deze ontsluiting brengt als zodanig risico’s met zich voor de beveiliging van de klantadministraties van banken en betaaldienstverleners en de gegevensbestanden van de betreffende overheidsinstanties.

De Afdeling merkt op dat, in tegenstelling tot de uitvoerige toelichting op de vereiste beveiligingsmaatregelen ten aanzien van het VB, in de toelichting niet wordt ingegaan op de mogelijke consequenties van de koppeling met het VB voor de beveiliging van de klantenadministraties van de banken en betaaldienstverleners en de gegevensbestanden van de betrokken overheidsinstanties.

De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.

4. Implementatie overige onderdelen van Europese ontsluitverplichting

De voorbereiding van een nationale wettelijke regeling voor de inrichting van het VB is ingehaald door Europeesrechtelijke ontwikkelingen, zo blijkt uit de toelichting. Op 19 juni 2018 is de richtlijn tot wijziging van de vierde anti-witwasrichtlijn (zie noot 17) in werking getreden, waarin voornoemde Europese ontsluitverplichting is opgenomen. Het wetsvoorstel beoogt daarom ook de hiervoor genoemde Europese ontsluitverplichting te implementeren.

De Afdeling heeft er begrip voor dat de voorbereidingen van een op nationaal beleid ingericht VB zijn voortgezet, op het moment dat de Europese ontsluitverplichting in werking trad. Dit leidt er echter toe dat het wetsvoorstel niet geheel aansluit bij hetgeen waartoe de richtlijn de EU-lidstaten verplicht. Zo geeft het VB naast de FIU ook het Openbaar Ministerie, de Politie, de Bijzondere opsporingsdiensten en de Belastingdienst toegang tot het VB. Uit de transponeringstabel valt op te maken dat andere onderdelen van de Europese ontsluitverplichting echter nog zullen worden geïmplementeerd, zonder dat duidelijk wordt wanneer dit het geval zal zijn en of de in het voorstel opgenomen wettelijke vorderingsgrondslagen daarvoor toereikend zullen zijn. (zie noot 18)

De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.

5. Kosten VB

Ten slotte wijst de Afdeling erop dat de banken de kosten voor de aansluiting op het VB zelf moeten dragen. Reden daarvoor is dat marktpartijen de kosten die direct voortkomen uit Europese voorschriften zelf dragen, aldus de toelichting. (zie noot 19) Het wetsvoorstel heeft echter een bredere strekking dan implementatie van de Europese ontsluitverplichting. Niet nader wordt toegelicht waarom de kosten niettemin volledig door de banken gedragen zouden moeten worden.

De Afdeling adviseert op het voorgaande in de toelichting nader in te gaan.

De Afdeling advisering van de Raad van State heeft een aantal opmerkingen bij het voorstel en adviseert daarmee rekening te houden voordat het voorstel bij de Tweede Kamer der Staten-Generaal wordt ingediend.

De waarnemend vice-president van de Raad van State


Nader rapport (reactie op het advies) van 1 juli 2019

2. Naar aanleiding van de opmerkingen van de Afdeling op dit punt alsmede op het punt van de gegevensverstrekking aan de Belastingdienst, is paragraaf 4.4 van de memorie van toelichting aangevuld met een passage over een aantal extra waarborgen waarin zal worden voorzien in verband met de beoogde werkwijze van fiattering buiten het verwijzingsportaal bankgegevens. In paragraaf 4.9 van de memorie van toelichting is ingegaan op de wijze waarop de rechten van betrokkenen kunnen worden uitgeoefend.

3. Bovenstaande opmerkingen van de Afdeling zijn aanleiding geweest om paragraaf 4.8 van de memorie van toelichting aan te vullen met een beschrijving van de beveiligingsmaatregelen die genomen zijn ten aanzien van de koppeling van het VB met de klantadministraties van aangesloten banken en andere betaaldienstverleners en met de gegevensbestanden van de betrokkenen overheidsinstanties.

4. De Afdeling merkt terecht op dat het wetsvoorstel thans niet geheel aansluit bij de Europese ontsluitverplichting uit de richtlijn tot wijziging van de vierde anti-witwasrichtlijn. Dit heeft ertoe geleid dat het wetsvoorstel is aangevuld met een vorderingsgrondslag voor gegevens over de uiteindelijk belanghebbende en de openings- en sluitingsdatum van een rekening en kluis. Omdat er meer tijd nodig is voor de technische implementatie van deze vorderingsmogelijkheid is deze wijziging opgenomen in een afzonderlijk wijzigingsartikel (artikel II). Zowel het algemene deel als de artikelsgewijze toelichting zijn met betrekking tot deze uitbreiding van de vorderingsgrondslag aangevuld.

5. Naar aanleiding van deze opmerking van de Afdeling is in paragraaf 7.2 van de memorie van toelichting, naar aanleiding van een consultatiereactie van de NVB, nader ingegaan op de vraag waarom de kosten niettemin volledig door de banken gedragen moeten worden. Uiteengezet is dat het wetsvoorstel met de bredere strekking beoogt te voorkomen dat banken en aangesloten overheidsdiensten voor vorderingen/bevragingen die onder de scope van de Europese richtlijn vallen gebruik kunnen maken van het verwijzingsportaal en voor andere bevragingen niet. Dit zou voor alle partijen extra kosten met zich meebrengen, omdat anders een deel van het proces nog op handmatige wijze zou moeten worden voortgezet. Daarnaast vindt momenteel ook geen vergoeding van investerings-, exploitatie- en onderhoudskosten plaats bij zowel bepaalde strafrechtelijke vorderingen als informatieverzoeken van de Belastingdienst en FIU-Nederland.

Ik moge U, mede namens mijn ambtgenoot van Justitie en Veiligheid, verzoeken het hierbij gevoegde gewijzigde voorstel van wet en de gewijzigde memorie van toelichting aan de Tweede Kamer der Staten-Generaal te zenden.

De Minister van Financiën



Voetnoten

(1) Het gaat daarbij dus niet om informatie over het gebruik van de rekening of het product zelf (bijvoorbeeld welke transacties hebben plaatsgevonden of de hoogte van het saldo).
(2) Memorie van Toelichting, paragraaf 2.1.
(3) Memorie van Toelichting, paragraaf 2.3.
(4) International Bank Account Number.
(5) Artikel 32bis zoals gewijzigd met inwerkingtreding van de richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU (PbEU2018, L 156).
(6) Zie ook in die zin het ongevraagd advies van de Afdeling inzake digitalisering, Kamerstukken II  2017/18, 26643, nr. 557.
(7) Financieel product in de zin van de Wet op het financieel toezicht.
(8) Gegevensbeschermingseffectbeoordeling Rijksdienst, bijlage bij de Memorie van Toelichting, paragraaf 14.
(9) Memorie van Toelichting, paragraaf 4.4.
(10) Gegevensbeschermingseffectbeoordeling Rijksdienst, bijlage bij de Memorie van Toelichting, paragraaf 3.
(11) Op grond van artikel 53 van de Algemene wet inzake rijksbelastingen, de artikelen 62 en 62bis van de Invorderingswet 1990 en artikel 38 van de Algemene wet inkomensafhankelijke regelingen.
(12) Memorie van Toelichting, artikelsgewijze toelichting, onderdeel D.
(13) Besluit van de Staatssecretaris van Financiën van 13 december 2012 (Staatscourant 2012, 26782).
(14) Memorie van Toelichting, paragraaf 4.5 en 4.9.
(15) Kamerstukken II 2018/19, 26643, nr. 592.
(16) Memorie van Toelichting, paragraaf 4.8.
(17) De vierde anti-witwasrichtlijn (EU) 2015/849 strekt tot het voorkomen van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering voor de aan deze misdrijven ten grondslag liggende delicten zoals corruptie of voor fiscale misdrijven, waaronder belastingontduiking en -fraude.
(18) Transponeringstabel artikel 32bis, derde lid.
(19) Memorie van Toelichting, paragraaf 7.2.